Was sich durch das neue Bundesdatenschutzgesetz ändert

Die neuen Regelungen werden zwar von vielen Daten- und Verbraucherschützern sowie von der politischen Opposition als unzureichend erachtet – sie sind aber Wasser auf die Mühlen der IT-Sicherheitsanbieter. Diese mühen sich schließlich schon seit Jahren ihre in den USA erprobten Lösungen für DLP – je nach Gusto Data Loss Prevention oder Data Leak Prevention – an den Mann zu bringen. Ihre Argumentationslinien stießen aber bei vielen Verantwortlichen hierzulande auf taube Ohren, weil bisher die gesetzlichen Vorgaben fehlten.

Das hat sich mit dem neuen Budnesdatenschutzgesetz nun geändert. Christoph Hardy, Senior Security Consultant bei Sophos, meint, Unternehmen dürften IT- und Datensicherheit nicht nur als rein technisches Thema verstehen, sondern müssten auch die Gefahren berücksichtigen, die von einem zu lockeren Umgang mit den Daten durch die eigenen Mitarbeiter oder externe Dienstleister ausgehen. „Schon der Verlust eines USB-Sticks oder Notebooks mit vertraulichen personenbezogenen Daten kann jetzt ein meldepflichtiger Vorfall sein.“

Sieben goldene Regeln

Firmen müssten daher sicherstellen, dass die Angestellten ausreichend über die Gefahren der digitalen Welt informiert werden und sich bewusst sind, welche Folgen der Verlust sensibler Daten für ihren Arbeitgeber und sie selbst haben kann. Dafür gibt Hardy Firmen „sieben goldene Regeln“ an die Hand, die Mitarbeiter beim Umgang mit E-Mail, Internet und vertraulichen Daten beachten sollten.

1. Jeder Klick kann gefährlich sein.
2. Schwer zu knackende Passwörter einrichten. Als sichere Variante gilt ein Mix aus mindestens zehn Ziffern, Buchstaben oder Sonderzeichen. Mitarbeiter sollten für jeden Zugang ein anderes Passwort verwenden.
3. Mitarbeiter, die soziale Netzwerke beruflich nutzen, sollten dort nicht zu viele geschäftliche und private Informationen preisgeben, da diese von Cyberkriminellen für gezielte Angriffe gegen das Unternehmen missbraucht werden könnten.
4. Nur verschlüsselte Daten sind sicher: Vertrauliche Geschäftsinformationen und Kundendaten sollten prinzipiell nur verschlüsselt gespeichert und übertragen werden.
5. Auf mobile Geräte besonders achten.
6. Mitarbeiter müssen sich darüber im Klaren sein, dass verlorene Daten massive wirtschaftliche Schäden verursachen, den Verlust von Kunden nach sich ziehen und sogar Arbeitsplätze gefährden können. Die durchschnittlichen Kosten pro Datenpanne in deutschen Unternehmen lagen 2008 bei 2,4 Millionen Euro. Jeder einzelne verlorene Datensatz schlug dabei mit 122 Euro zu Buche.
7. Datendiebstahl kann Folgen haben: Zwar haften im Falle verlorener Daten Unternehmen grundsätzlich für ihre Mitarbeiter. Werden diese jedoch des fahrlässigen oder vorsätzlichen Datendiebstahls überführt, drohen eine Abmahnung oder sogar die Kündigung.

Auch Bernd Bilek, Experte für Data Loss Prevention bei Symantec, hat eine Reihe von Tipps parat. Seiner Ansicht nach fängt der Schutz mit der Ausarbeitung eines Sicherheitskonzepts an. Dabei müssen zunächst folgende Fragen beantwortet werden: Wo sind vertrauliche Daten gespeichert? Wer sollte sie wie nutzen dürfen? Und wie lassen sich die Daten am besten vor Verlust schützen?

Der erste Schritt dazu sei eine vollständige Analyse und Klassifizierung des Datenbestandes. Daran schließe sich eine Diskussion an, wie die Firma mit vertraulichen Daten umgeht, und ob neue Richtlinien vonnöten sind. Dann empfiehlt der Symantec-Experte die Auswahl eines geeigneten DLP-Produktes mit Echtzeitüberwachung. „Nicht vergessen werden darf der menschliche Faktor: Denn DLP ist keine reine IT-Angelegenheit“, so Bilek.

„Die Mitarbeiter müssen in die Prozesse einbezogen werden, um den Verlust vertraulicher Informationen zu verhindern. Egal, ob Personaldaten, Finanzinformationen oder Marketingpläne: Daten wie diese repräsentieren das Unternehmen und müssen geschützt werden. Dies muss auch allen Mitarbeitern klar sein.“

Checkliste für DLP-Projekte

Kern eines wirkungsvollen Sicherheitskonzeptes sei die Sicherheitsrichtlinie, die alle Maßnahmen regelt. Bilek empfiehlt Firmen, sich dabei nach den Normen DIN ISO/IEC 27001 und 27002 zu richten. „Sie stellen den Unternehmen ein kompetentes Werkzeug in deutscher Sprache zur Verfügung, welches die Anforderungen an die Informationssicherheit des Unternehmens klar und eindeutig definiert.“ Anschließend habe die IT mittels DLP für die korrekte Umsetzung und technische Sicherheit. Zusammenfassen ließe sich der Weg zu einer DLP-Lösung in einer Checkliste mit zehn Punkten.

1. Risiken und deren Tragweite definieren, dabei auch Menschen und Prozesse einbeziehen.
2. Sicherheitsrichtlinien erstellen, geltende Standards als Checkliste nutzen. Folgende Kriterien sind relevant: Richtlinien nach Nutzer, Art der Inhalte, Speicherort und Netzwerkkommunikation differenzieren.
3. Nutzer sind neben Mitarbeitern auch Lieferanten, Kunden und andere Geschäftspartner. Wer soll welche Befugnisse besitzen?
4. Art der Inhalte: Inhalte sollten nach dem Grad der Vertraulichkeit unterschieden werden. Ausgefeilte Sicherheitspolitik differenziert zunächst zwischen verschiedenen Arten von Informationen im Unternehmen und entwickelt dann für jede Kategorie geeignete Schutzmaßnahmen.
5. Inhalte werden unterschieden in öffentliche Inhalte, sensible Inhalte, Inhalte, die das Wissenskapital des Unternehmens darstellen, und personengebundene Daten.
6. Speicherort und Netzwerkkommunikation: fest installierte Geräte, mobile Endgeräte sowie Netzwerkkommunikation.
7. Richtlinien für die Krisenkommunikation erstellen.
8. Richtlinien implementieren und deren Einhaltung kontrollieren. Dazu gehören auch Schulungen.
9. Know-how der Anwender um eine Technologie ergänzen, die die Einhaltung der Richtlinien kontinuierlich und automatisch überprüft.
10. Verantwortlichkeiten klar definieren.